Operaに限らずほとんどの主要ブラウザにだが,Secunia Advisories Opera Window Injection Vulnerabilityということで,適当な名前付きで開かれたwindowがあると,それを開いたwindow(文書)かどうかにかかわらず,別の文書からその名前つきwindowの中身をいじられてしまうという事らしいです.

テストページも公開されているので,心配ならば試すとよろしいかと.

テストページはOpera7.60tp4(build 7364b)で再現を確認. テストページは分かりやすいようにlocation.hrefをいじってるけども,ローカルでいろいろと試したところ,JavaScriptで出来る範囲なら何でも出来ると思われる. うまくいかない事もあり,再現性がつかめないので保留

利用者側の対策としては,Javascriptを切るくらい.制作側としては,別windowで開く構成をやめるのが一番良いと思う.別windowで開く必要があるなら,アクセスしてきたユーザごとに開くwindowの名前を生成する事でのっとられにくくする事が出来そうだが,その名前生成法を見破られる可能性とか当てずっぽうでつけたのが当たる可能性も否定できないので,万全ではない.

UAが,名前つきwindowはそれを生成したリソース以外からは見えないようになればいいのかもしれない.と思ったが,生成元リソースの区別方法によっては,それはそれでまた問題になるな.